Bonjour,cinq nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="a8cb89f9149f118111c6af79fd96acf288379c98" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans l'environnement d'exécution Java OpenJDK, comprenant des problèmes avec le hachage cryptographique, la négociation de connexion de client TLS et divers autres.</p> <p>Merci à Thorsten Glaser et ⮡ tarent pour leurs contributions aux paquets mis à jour pour corriger ces vulnérabilités.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 8u312-b07-1~deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-8.</p> <p>Pour disposer d'un état détaillé sur la sécurité de openjdk-8, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/openjdk-8">\ https://security-tracker.debian.org/tracker/openjdk-8</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2814.data" # $Id: $
#use wml::debian::translation-check translation="391103ab2e705e2bc9f769600c66c87a4389d634" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>CKEditor, un éditeur de texte HTML WYSIWYG libre avec prise en charge du <q>rich content</q>, qui peut être intégré dans des pages web, contient les deux vulnérabilités suivantes :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-33829">CVE-2021-33829</a> <p>Une vulnérabilité de script intersite (XSS) dans le processeur de données HTML dans CKEditor 4 permet à des attaquants distants d'injecter du code JavaScript exécutable à l'aide d'un commentaire contrefait parce que <q>--!></q> est mal géré.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-37695">CVE-2021-37695</a> <p>Une possible vulnérabilité a été découverte dans le paquet Fake Objects de CKEditor 4. La vulnérabilité permettait d'injecter de l'HTML mal formé de Fake Objects, qui pourrait avoir pour conséquence l'exécution de code JavaScript.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 4.5.7+dfsg-2+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets ckeditor.</p> <p>Pour disposer d'un état détaillé sur la sécurité de ckeditor, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/ckeditor">\ https://security-tracker.debian.org/tracker/ckeditor</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2813.data" # $Id: $
#use wml::debian::translation-check translation="10249dab241cafb6527cc5f2832e5dbaea4446bd" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un problème de sécurité a été découvert dans botan1.10, une bibliothèque cryptographique C++.</p> <p>Un attaquant local ou par <q>cross-VM</q> peut être capable de récupérer des bits d'exposants secrets comme ceux utilisés dans RSA, DH, etc. avec l'aide de l'analyse de cache. <a href="https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/wang-shuai">\ https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/wang-shuai</a></p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 1.10.17-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets botan1.10.</p> <p>Pour disposer d'un état détaillé sur la sécurité de botan1.10, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/botan1.10">\ https://security-tracker.debian.org/tracker/botan1.10</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2812.data" # $Id: $
#use wml::debian::translation-check translation="318b124a1839dc38c78105049264e858951f3777" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités d'injection SQL ont été découvertes dans SQLAlchemy, une boîte à outils SQL et de mapping objet-relationnel pour Python, quand les paramètres ORDER BY ou GROUP BY peuvent être contrôlés par un attaquant.</p> <p>Attention : la fonction de contrainte de texte de SQLAlchemy est rarement utilisée mais l'avertissement qui était émis auparavant est devenu maintenant une ArgumentError ou, dans le cas des paramètres order_by() et group_by(), une CompileError.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1.0.15+ds1-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets sqlalchemy.</p> <p>Pour disposer d'un état détaillé sur la sécurité de sqlalchemy, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/sqlalchemy">\ https://security-tracker.debian.org/tracker/sqlalchemy</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2811.data" # $Id: $
#use wml::debian::translation-check translation="edec9b68ebe4b851f32586a2757ada3ded41e04d" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait un certain nombre de problèmes dans redis, une base de données clé-valeur populaire :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-41099">CVE-2021-41099</a> <p>Dépassement d'entier sur le tampon de tas lors de la gestion de certaines commandes de chaîne et charges utiles de réseau, quand <q>proto-max-bulk-len</q> est configuré manuellement à une valeur très grande différente de celle par défaut.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32762">CVE-2021-32762</a>: <p>Problème de dépassement d'entier sur le tampon de tas dans redis-cli et redis-sentinel lors de l'analyse de grandes réponses « multi-bulk » sur certaines plateformes plus anciennes et moins répandues.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32687">CVE-2021-32687</a> <p>Dépassement d'entier sur le tampon de tas avec les IntSet, quand <q>set-max-intset-entries</q> est configuré manuellement à une valeur très grande différente de celle par défaut.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32675">CVE-2021-32675</a> <p>Déni de service lors du traitement de la charge utile de requêtes RESP avec un grand nombre d'éléments sur de nombreuses connexions.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32672">CVE-2021-32672</a> <p>Problème de lecture aléatoire de tas avec le débogueur Lua.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32626">CVE-2021-32626</a> <p>Des scripts Lua contrefaits pour l'occasion peuvent avoir pour conséquence un dépassement de tampon de tas.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 3:3.2.6-3+deb9u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets redis.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2810.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature